El Tribunal de Cuentas denuncia fallos de ciberseguridad en la Agencia de Protección de Datos

Un informe del Tribunal de Cuentas correspondiente a los ejercicios de 2016 y 2017 refleja carencias en la adopción del Esquema Nacional de Seguridad (ENS) por parte de la Agencia Española de Protección de Datos (AEPD), organismo responsable de hacer cumplir la Ley Orgánica de Protección de Datos (LOPD).

El Esquema Nacional de Seguridad estipula las directrices que deben asumir las Administraciones Públicas para proteger la información del ciudadano frente a riesgos como el que suponen los ciberataques. La AEPD no está cumpliendo con los requisitos.

"Se han detectado carencias en la implantación técnica del Esquema Nacional de Seguridad (ENS) que se manifiestan en los siguientes aspectos: no se monitoriza proactivamente el tráfico de red y los servidores para detectar comportamientos anómalos, ni se ha instalado un sistema de gestión de información y eventos de seguridad (SIEM) que permita analizar y correlacionar los eventos de seguridad para alertar de comportamientos peligrosos", explica el documento público firmado por el Tribunal de Cuentas.

La Agencia Española de Protección de Datos ha tenido en los ejercicios a los que se refiere el informe (2016 y 2017) los presupuestos congelados, con un crédito para la gestión de 14,1 millones de euros

La falta de personal especializado es una parte del problema para la Agencia Española de Protección de datos, tanto en el caso de la gestión de las incidencias relacionadas con la vulneración de la ley de datos como de una correcta gestión de la ciberseguridad. Aunque es algo que no es aireado públicamente desde el organismo, sus cargos directivos sí muestran su descontento en petit comité. Demandan más recursos y profesionales para cumplir con su cometido, algo que depende de los Presupuestos Generales del Estado (PGE).

Móviles desprotegidos

El tratamiento de información sensible, como es el caso de expedientes sancionadores, es también otro de los fallos de seguridad detectados por el Tribunal de Cuentas. "Debido al impacto que tiene en la actividad de la agencia el sistema SIGRID, que contiene información interna de procedimientos administrativos sancionadores, se considera necesario catalogar el sistema como nivel medio en el ENS y, por tanto, realizar auditorías externas de seguridad sobre el mismo. El tráfico interno de las aplicaciones SIGRID y Alfresco (Gestor documental) -son sobre las que corren los expedientes sancionadores- no están cifradas", explica el Tribunal de Cuentas.

Además, los teléfonos móviles utilizados por los profesionales de la AEPD no cuentan con una seguridad acorde con la importancia de la naturaleza del organismo. Desde el Tribunal de Cuentas explican que no existen controles que aseguren el cumplimiento de las políticas de seguridad exigidos para este tipo de dispositivos.

La batería de críticas en torno a la ciberseguridad de la AEPD no concluye aquí. "El personal TIC de la Agencia no ha recibido formación específica y transversal suficiente sobre seguridad informática que aumente su especialización; y la entidad no cuenta con un funcionario especializado en la implantación técnica de la seguridad informática que coordine y apoye todas las acciones técnicas trasversales en todos los sistemas de información", explica el informe.

También se denuncian fallos en el control de los documentos físicos lanzados por los empleados a las impresoras de las oficinas de la AEPD. Se requiere un sistema, por la confidencialidad de gran parte de la documentación tratada, que requiera de la persona física que ordena la impresión para poder recoger la misma. Un sistema que no existe.

La AEPD publicó tras el informe del Tribunal de Cuentas una serie de alegaciones. El organismo explica que al ser un informe de los ejercicios de 2016 y 2017 varias de las irregularidades reflejadas -y que van más allá de la ciberseguridad- ya han sido solventadas, o están en camino de solventarse. Estas alegaciones no hacen referencia a los problemas de ciberseguridad mencionados.

Presupuestos congelados

La Agencia Española de Protección de Datos ha tenido el presupuesto congelado en los ejercicios a los que se refiere el informe (2016 y 2017), con un crédito de 14,1 millones de euros. Sin embargo, en 2018 la aportación se incrementó en casi 300.000 euros, hasta alcanzar cerca de 14,3 millones de euros.